42983 2022-06-14 17:32:30 +0300 Не работает пропись в /etc/luks.keys файла с паролем от LUKS раздела. 2024-11-18 18:01:35 +0300 1 1 1 Unclassified Branch p10 make-initrd не указана x86_64 Linux CLOSED FIXED P5 normal --- 42987 1 jqt4 legion antohami cas jqt4 legion qa-p10 oldest_to_newest 211741 0 jqt4 2022-06-14 17:32:30 +0300 Согласно документации на make-initrd имя файла с паролем от шифрованного раздела LUKS можно задать 2-мя способами: В командной строке ядра: https://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=blob;f=make-initrd/features/luks/README.md;h=8fc210f0e0fa7c2234454deedc0c1ea7e010efbf;hb=HEAD#l9 ИЛИ В файле /etc/luks.keys https://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=blob;f=make-initrd/features/luks/README.md;h=8fc210f0e0fa7c2234454deedc0c1ea7e010efbf;hb=HEAD#l37 Тестирование данной функции в образе https://mirror.yandex.ru/altlinux/images/p10/server/x86_64/alt-server-10.0-x86_64.iso показало, что для обнаружения файла с паролем от LUKS раздела его нужно задать И в командной строке ядра И в файле /etc/luks.keys, иначе не работает. 211742 1 antohami 2022-06-14 17:44:35 +0300 Надо либо эту багу на Сизиф перевесить, либо ещё одну создать на Сизиф. Но я не понял какой кейс проверяется. Когда устанавливаешь на LUKS, всё работает. Проверяется установка на существующий LUKS, поэтому и нужно передать каким-то образом ключ? Если так, то надо иметь в виду, что в iso образе всем рулит propagator, поэтому и может не работать передача ключа. 211745 2 jqt4 2022-06-14 17:54:31 +0300 (Ответ для Антон Мидюков на комментарий #1) > Надо либо эту багу на Сизиф перевесить, либо ещё одну создать на Сизиф. > > Но я не понял какой кейс проверяется. Когда устанавливаешь на LUKS, всё > работает. > Проверяется установка на существующий LUKS, поэтому и нужно передать > каким-то образом ключ? Если так, то надо иметь в виду, что в iso образе всем > рулит propagator, поэтому и может не работать передача ключа. Смысл в том, чтобы вводить ключ вручную только 1 раз, а не 3 раза - в GRUB, initrd, systemd. Для обхода нужно создать или модифицировать следующие конфигурационные файлы: /etc/crypttab - стандартный конфигурационный файл cryptsetup. /etc/keys/luks.key, /etc/luks.keys - конфигурационные файлы initrd, используемые в Альт. Для предотвращения повторного ввода пароля в initrd нужно: - поместить пароль от шифрованного раздела в файл /etc/keys/luks.key, расположенный на том же шифрованном разделе, - поместить путь к этому файлу в /etc/luks.keys - добавить эти файлы в initrd при его генерации, (/etc/initrd.mk, строка PUT_FILES += /etc/keys/luks.key /etc/luks.keys) - добавить в командную строку ядра luks-key=/etc/keys/luks.key По документации есть возможность вместо параметра "luks-key=/etc/keys/luks.key" использовать только файл /etc/luks.keys из initrd, но не работает. Для предотвращения повторного ввода пароля в systemd-cryptsetup нужно: - поместить пароль от шифрованного раздела в файл /etc/keys/luks.key, расположенный на том же шифрованном разделе, - добавить в 3-е поле файла /etc/crypttab путь /etc/keys/luks.key 211746 3 antohami 2022-06-14 17:57:51 +0300 Теперь понятно. 211755 4 jqt4 2022-06-14 20:37:53 +0300 (Ответ для Антон Мидюков на комментарий #1) > Надо либо эту багу на Сизиф перевесить, либо ещё одну создать на Сизиф. > Создал: https://bugzilla.altlinux.org/42987 211768 5 jqt4 2022-06-15 10:58:43 +0300 Эта бага на p10. Исправление нужно для сборки Альт Сервер 10.1. По этой же проблеме на Сизифе создана бага https://bugzilla.altlinux.org/42987 211769 6 cas 2022-06-15 11:00:17 +0300 Тогда и указывайте зависимости. 254680 7 jqt4 2024-11-18 18:01:17 +0300 Проблема была решена в https://bugzilla.altlinux.org/42987, пакет с решением был собран в p10.